Comment supprimer le virus Beagle/Bagle ?

Le malware Bagle est en réalité un ver informatique se propageant essentiellement par les logiciels P2P et via de faux cracks (= logiciels piratés !), ainsi que par mail.
L'internaute croyant télécharger un crack pour un logiciel en faisant une recherche via un logiciel P2P installe lui-même le ver sur son ordinateur car le fichier.exe contenu dans l'archive est en réalité le ver Bagle !
Les noms des logiciels crackés sont très divers et touchent une gamme assez étendue de types de programmes de la vie de tous les jours pour se "camoufler" !
Ce ver est en général assez coriace à supprimer !

Symptômes dûs à l'infection

Lorsqu'il est exécuté, le ver affiche une fenêtre qui demandera de sélectionner un fichier à cracker. En fait, c'est un leurre car bien évidemment, il ne crackera aucun fichier !



Message obtenu après recherche :


Sa première action est d'infecter un fichier sain du démarrage : après une lecture du registre, il supprimera la clé safeboot qui permet le démarrage en mode sans échec. Il neutralise aussi le fonctionnement de l'antivirus et du pare-feu, et empêche leur réinstallation. Vous vous rendrez compte assez vite qu'une grande partie de programmes de sécurité ne pourront pas s'exécuter avec comme message d'erreur : "n'est pas une application win32 valide"

Les fichiers de l'infection Bagle sont :

• wintems.exe
• hldrrr.exe
• srosa.sys
• srosa2.sys
• winfilse.exe
• flec006.exe
• mdelk.exe
• winupgro.exe
• wfsintwq.sys
• 111wfs1intwq.sys
• 11s11ro1s1a2.sys
• ...

Attention ! Ne surtout pas chercher à redémarrer en mode sans échec en passant par la commande msconfig sous peine de voir Windows redémarrer indéfiniment en boucle !

Préliminaire

• Important 1 : si vous avez Vista, vous devez désactiver l'UAC le temps de la désinfection.
• Important 2 : si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il risque de gêner la désinfection.
  • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
  • A gauche, cliquez sur Outils, puis sur Résident.
  • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :

Méthodes de désinfection

Plusieurs solutions s'offrent à vous !

Réparer l'accès au mode sans échec

Vous pouvez commencer par réparer l'accès au mode sans échec, en téléchargeant l'utilitaire suivant, ou l'un de ces fichiers *.reg (selon la version de Windows).

Première méthode : FindyKill

Option 1 :

• Téléchargez et installez FindyKill de (Chiquitine29 & C_XX).
• Branchez vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir.
• Double-cliquez sur le raccourci FindyKill présent sur votre Bureau (Sous Vista, il faut cliquer droit sur le raccourci FindyKill et choisir Exécuter en tant qu'administrateur).
• Choisissez l'option 1 (Recherche).
• Laissez travailler l'outil.
• Ensuite postez le rapport FindyKill.txt qui apparaîtra.
• Note : le rapport FindyKill.txt est sauvegardé a la racine du disque. (C:\FindyKill.txt)

Option 2 :

• Branchez vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir.
• Double-cliquez sur le raccourci FindyKill présent sur votre Bureau (Sous Vista, il faut cliquer droit sur le raccourci FindyKill et choisir Exécuter en tant qu'administrateur).
• Choisissez l'option 2 (Suppression).
• Votre Bureau disparaîtra et le PC redémarrera.
• Au redémarrage , FindyKill scannera ton PC, laissez travailler l'outil.
• Ensuite postez le rapport FindyKill.txt qui apparaîtra avec le Bureau.
• Note : le rapport FindyKill.txt est sauvegardé a la racine du disque. (C:\FindyKill.txt)

Deuxième Méthode : ELIBAGLA

• Téléchargez Elibagla (de SATINFO) en bas de cette page : Lien
• Cliquez sur le bouton Descargar Elibagla pour télécharger le fichier, placez-le sur votre Bureau.
• Double-cliquez dessus pour l'ouvrir (Sous Vista, il faut cliquer droit sur Elibagla et choisir Exécuter en tant qu'administrateur).
• Assurez-vous que dans le menu déroulant Unidad, vous avez bien C: (ou la partition contenant le système d'exploitation).
• Vérifiez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée.
• Cliquez sur le bouton Explorar pour lancer l'analyse. A la fin du scan, un rapport est généré, nommé infosat.txt, il est en outre sauvegardé sous la racine : C:\infosat.txt

Exemple d'un rapport contenant des fichiers infectés :

Thu Feb 28 21:49:09 2008 
EliBagle v11.08  (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Acción Directa): 
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. 
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle 
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. 
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. 
Restaurada Clave: "SafeBoot\Minimal y Network" 
Reinicie para Completar la Limpieza. 
 
Thu Feb 28 21:49:48 2008 
EliBagle v11.08  (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Exploración): 
Explorando Unidad C:\ 
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE --> Eliminado Bagle.dldr 
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) 
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) 
 
Nº Total de Directorios:   7505 
Nº Total de Ficheros:      82386 
Nº de Ficheros Analizados: 12450 
Nº de Ficheros Infectados: 3 
Nº de Ficheros Limpiados:  3 

• Exploitation du rapport :
  • la mention : Eliminado Bagle signifie que la composante du ver a bien été supprimée.
  • la mention : Bagle Acceso Denegado signifie que l'accès à ce fichier est refusé, il n'a donc pas été supprimé.
  • la mention : Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) signifie qu'il faut repasser l'outil pour en arriver à bout !
  • Elibagla a la capacité de réparer la clé safeboot supprimée par Bagle. Si c'est le cas, la mention suivante apparait dans le rapport : Restaurada Clave: "SafeBootMinimal y Network"

Remarque : il est très important de passer plusieurs fois Elibagla en mode normal, ainsi qu'en mode sans échec si possible afin d'essayer de supprimer le plus de fichiers infectés possible !


Dans notre exemple, Elibagla n'est pas arrivé à bout de l'infection du 1er coup, nous allons voir dans la suite comment d'autres outils peuvent venir compléter la suppression du ver Bagle.

Troisième Méthode : Combofix

• Faire un clic droit ici.
• Choisir : Enregistrer la cible du lien sous
• Choisir le Bureau comme destination.
• Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
• Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de rendre ainsi le fix totalement inefficace.
• Déconnectez-vous d'Internet et fermez toutes les applications et programmes.
• Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il faut cliquer droit sur CCM.exe et choisir Exécuter en tant qu'administrateur).
• Acceptez le message d'avertissement et acceptez l'installation de la Console de récupération (Sous XP).
• Le rapport sera créé sous la racine : C:\Combofix.txt

Quatrième Méthode : Malwarebytes'

Ce très bon outil a la particularité de détecter la totalité de l'infection Bagle, cependant il n'est efficace qu'à condition d'utiliser Elibagla juste avant pour neutraliser le fichier infecté repéré en 04 (HijackThis) ou si cette 04 a déjà été supprimée auparavant.

• Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.
• Installez le logiciel.
  • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici.
• Faîtes les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
• Démarrez en mode sans échec.
• Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous vos disques durs.
• Une fois le scan terminé, cliquez sur supprimer (Si un message demande à redémarrer le PC, acceptez !)

• Un rapport sera généré, enregistrez-le de manière à le retrouver.

Astuces Pratiques

Renommer ELIBAGLA

• 1er étape :
  • Supprimer la version d'Elibagla si vous en avez une, et téléchargez la dernière version à cette adresse.
  • Très important : enregistrer ou déplacer ensuite le fichier Elibagla.exe téléchargé, à la racine du disque dur AVANT de le renommer.
  • Puis, renommer C:\Elibagla.XXXXX.exe en mdelk.exe.
• /!\ Attention : un mauvais renommage rendra l'astuce inefficace :
  • Si les extensions de fichiers sont visibles : renommer ELIBAGLA.XXXXX.EXE en mdelk.exe
  • Si les extensions de fichiers ne sont pas visibles : renommer ELIBAGLA.XXXXX en mdelk
  • Pour exécuter Elibagla ainsi renommé :
  • Appuyer simultanément sur la touche Windows (drapeau à côté de Alt) + R (ou ouvrir le Menu Démarrer, module Exécuter)
  • Dans la boîte de dialogue Exécuter taper : cmd puis valider.
  • Dans la fenêtre de l'invite de commande qui s'ouvre, taper : C:\mdelk.exe puis valider avec la touche entrée.
• 2ème étape :
  • Redémarrer le pc, c'est très important.
  • Avant l'apparition du Bureau, Elibagla va se relancer et neutraliser le reste de l'infection.
  • Dès que le menu principal d'Elibagla apparaitra :
    • Laisser la case "Eliminar ficheros automaticamente" coché.
    • Clique sur "Explorar" pour lancer le scan complet du PC.
    • Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaitre.

Ligne de commande utile pour XP/Vista

Cette astuce est principalement destinée aux utilisateurs avertis, ainsi qu'aux personnes aidant dans les forums Virus/Sécurité à qui elle sera très utile.
Le faux crack qui se copie à la place d'un fichier sain a la particularité d'utiliser un protecteur de fichier : Themida.
Cette commande est capable de révéler la présence de fichiers infectés liés à Bagle et camouflés par ce protecteur de fichier, ouvrez une invite de commande et entrez la ligne suivante :
findstr /S /I /M /L "Themida" C:\*.exe>>"%systemdrive%\Startvir.txt"
Le fichier Startvir.txt qui sera crée sous la racine C:\Startvir.txt listera les fichiers suspects trouvés, il vous suffira après interprétation des résultats de supprimer les fichiers.

Notez qu'il existe encore plusieurs autres méthodes pour se débarrasser de ce ver !

Vérification

Il est conseillé de faire un scan en ligne pour vérifier qu'il ne reste pas des applications infectées.

Scanner en ligne avec Kaspersky.

Désactivation/Réactivation de la restauration système

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés (Par Bagle par exemple) :

• Pour XP.
• Pour Vista.

Si vous rencontrez des difficultés à supprimer ce ver, qui, ajouté à d'autres infections, peut être très difficile à déloger, n'hésitez pas à poster un message dans le forum Virus/Sécurité en expliquant brièvement les opérations effectuées et les problèmes rencontrés.